CN101242630B - 安全算法协商的方法、装置及网络系统 - Google Patents
安全算法协商的方法、装置及网络系统 Download PDFInfo
- Publication number
- CN101242630B CN101242630B CN200710003493A CN200710003493A CN101242630B CN 101242630 B CN101242630 B CN 101242630B CN 200710003493 A CN200710003493 A CN 200710003493A CN 200710003493 A CN200710003493 A CN 200710003493A CN 101242630 B CN101242630 B CN 101242630B
- Authority
- CN
- China
- Prior art keywords
- security algorithm
- base station
- evolution base
- algorithm information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Abstract
本发明公开了一种安全算法协商的方法,用于系统演进架构/长期演进系统中,该方法包括:接收用户终端所能支持的安全算法信息;根据所述安全算法信息,选择安全算法;向所述用户终端发送表示所述安全算法的标识。同时,本发明还公开了安全算法协商的装置和网络系统,使用本发明提供的技术方案,能够在SAE/LTE系统中协商出非接入层安全算法和接入层安全算法。
Description
技术领域
本发明涉及通信技术领域,特别涉及安全算法协商的方法、装置及网络系统。
背景技术
在通用移动通信系统(Universal Mobile Telecommunication System,UMTS)中,需要无线网络控制器(Radio Network Controller,RNC)和用户终端(User Equipment,UE)执行加密/解密和完整性保护操作,即对UE的数据提供机密性保护,UE和RNC之间的信令提供机密性和完整性保护。由于不同UE所支持的加密/解密和完整性算法不同,因此,在加密/解密和完整性保护之前,需要协商加密/解密算法和完整性算法。由于UMTS系统仅需在接入(Access Stratum,AS)层提供保护,因此,UMTS系统在UE和RNC之间协商了加密/解密和完整性算法。
在系统演进架构(System Architecture Evolution,SAE)/长期演进(LongTerm Evolution,LTE)系统中,如图1所示,核心网包括:移动性管理实体(Mobility Management Entity,MME)、用户面实体(User Plane Entity,UPE)和接入系统间锚点(Inter Access System Anchor,IASA),其中,MME用于负责控制面的移动性管理,包括用户上下文和移动状态管理,分配用户临时身份标识、安全信息等;UPE负责空闲状态下为下行数据发起寻呼,管理保存IP承载参数和网络内部信息等;IASA作为不同系统间的用户间锚点,接入网由演进基站(Evolved Node Base,eNodeB)构成;在该系统中,信令面的接入层信令的安全终结在eNodeB上,信令面的非接入层的安全,即核心网信令面的安全终结在MME上,用户面的安全终结在UPE上。因此,信令面的安全终结点有:eNodeB,MME,而安全终结点在对数据或者信令执行相应的安全保护之前,需要协商该安全终结点与用户终端(User Equipment,UE)都支持的安全算法,即eNodeB与UE之间需要协商接入层AS安全算法,MME与UE之间需要协商非接入层(None Access Stratum,NAS)安全算法。
现有的SAE/LTE系统中无法协商出安全算法,即接入层AS安全算法和非接入层NAS安全算法。
发明内容
本发明实施例的目的是提供一种安全算法协商的方法、装置及网络系统,能够在SAE/LTE系统中协商出安全算法。
为解决上述技术问题,本发明实施例的目的是通过以下技术方案实现的:
一种安全算法协商的方法,用于系统演进架构/长期演进系统中,该方法包括:
接收用户终端所能支持的安全算法信息;
根据所述安全算法信息,选择安全算法;
向所述用户终端发送表示所述安全算法的标识;
所述根据所述安全算法信息,选择安全算法具体为:
移动性管理实体根据所述安全算法信息选择非接入层安全算法;和/或:
移动性管理实体或演进基站根据所述安全算法信息选择接入层安全算法。
一种移动性管理实体(MME),用于系统演进架构/长期演进系统中,该MME包括:
信息接收单元,用于接收用户终端所能支持的安全算法信息;
安全算法选择单元,用于根据所述安全算法信息,选择非接入层安全算法;或,用于根据所述安全算法信息,选择接入层安全算法;
发送单元,用于向所述用户终端发送表示所述安全算法的标识。
一种演进基站,用于系统演进架构/长期演进系统中,该演进基站包括:
信息接收单元,用于接收用户终端所能支持的安全算法信息;
安全算法选择单元,用于根据所述安全算法信息选择接入层安全算法;
发送单元,用于向所述用户终端发送表示所述接入层安全算法的第二标识。
一种网络系统,该系统包括:演进基站,移动性管理实体,其中,
所述演进基站,用于向所述移动性管理实体发送用户终端支持的安全算法信息;将来自所述移动性管理实体的第一标识发送给所述用户终端;
所述移动性管理实体,用于根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法,输出表示所述非接入层安全算法的第一标识。
以上技术方案可以看出,本发明实施例通过根据用户终端所能支持的安全算法信息,选择安全算法,并向用户终端发送表示所选择的安全算法的标识,能够在SAE/LTE系统中协商安全算法。
附图说明
图1为现有技术中SAE/LTE系统结构图;
图2为本发明实施例一所提供的安全算法协商的方法流程图;
图3为本发明实施例二所提供的安全算法协商的方法流程图;
图4为本发明实施例三所提供的安全算法协商的方法流程图;
图5为本发明实施例四所提供的安全算法协商的方法流程图;
图6为本发明实施例五所提供的安全算法协商的方法流程图;
图7为本发明实施例六所提供的安全算法协商的方法流程图;
图8为本发明实施例七所提供的安全算法协商的方法流程图;
图9为本发明实施例八所提供的安全算法协商的方法流程图;
图10为本发明实施例九所提供的安全算法协商的装置结构图;
图11为本发明实施例十所提供的网络系统结构图。
具体实施方式
下面参照附图,对本发明的实施例进行详细说明。
参阅图2,本发明的实施例一所提供的安全算法协商的方法包括:
实施一中层3消息以初始层3消息为例,初始层3消息在无线资源连接(Radio Resource Connection,RRC)请求消息中携带,将初始层3响应信息在RRC建立消息中携带,由MME选择NAS安全算法,eNodeB选择AS安全算法;
步骤201、UE向eNodeB发送无线资源连接RRC请求消息,该请求消息中包括:AS安全能力和初始层3消息,初始层3消息携带NAS安全能力;其中,AS安全能力是UE所能支持的AS安全算法信息,即AS安全算法列表,NAS安全能力是UE所能支持的NAS安全算法信息,即NAS安全算法列表;
步骤202、eNodeB保存AS安全能力;
步骤203、eNodeB向MME发送RANAP消息,该消息中携带初始层3消息,初始层3消息中携带UE的NAS安全能力;
步骤204、MME根据UE的NAS安全能力和网络允许用户使用的算法信息,选择出NAS安全算法;或者,根据NAS安全能力、网络允许用户使用的算法信息和用户的签约信息,选择出NAS安全算法;其中,网络允许用户使用的算法信息至少包括允许用户使用的AS安全算法信息和NAS安全算法信息,其中,网络允许用户使用的AS安全算法信息包括:该eNodeB自身支持的算法信息;
步骤205、MME创建NAS安全模式命令和第一AS安全模式命令,向eNodeB发送RANAP消息,该RANAP消息中携带初始层3响应消息,NAS安全模式命令和第一AS安全模式命令,其中,NAS安全模式命令携带表示选择的NAS安全算法的第一标识,第一AS安全模式命令携带网络允许用户使用的算法信息;
步骤206、eNodeB根据AS安全能力和该eNodeB预存的自身支持的算法信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;
步骤207、eNodeB创建第二AS安全模式命令,该第二AS安全模式命令中包括表示所选的AS安全算法的第二标识,向UE发送RRC建立消息,该消息中携带AS安全模式命令,NAS安全模式命令和初始层3响应信息;
步骤208、UE向eNodeB发送RRC确认消息,该消息中携带层3确认消息,NAS安全模式命令响应,第二AS安全模式命令响应;
步骤209、eNodeB向MME发送RANAP消息,该消息中携带层3确认消息和NAS安全模式命令响应。
其中,UE所支持的算法可并不区分AS算法和NAS算法,即UE所支持的算法既是AS算法又是NAS算法,那么NAS安全能力和AS安全能力是相同的,通称为UE的安全能力。当UE所支持算法不区分AS算法和NAS算法时,该步骤201中的RRC请求消息可以包括:UE安全能力和初始层3消息,初始层3消息中携带UE安全能力,UE安全能力中可以只携带一个IE;步骤202可以为eNodeB保存UE的安全能力;或者,步骤201中的初始层3消息不携带UE安全能力,步骤203的eNodeB向MME发送的RANAP消息包括:初始层3消息和UE的安全能力。
参阅图3,本发明的实施例二所提供的安全算法协商的方法包括:
实施二中的初始层3消息在RRC请求消息中携带,由MME选择NAS安全算法,eNodeB选择AS安全算法;
其中,步骤301-步骤303与实施例一中的步骤201-步骤203相同;
步骤304、MME创建第一AS安全模式命令,向eNodeB发送RANAP消息,该消息中携带第一AS安全模式命令,第一AS安全模式命令中携带网络允许用户使用的算法信息;
步骤305、eNodeB根据AS安全能力和该eNodeB预存的自身支持的算法信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;
步骤306、eNodeB创建第二AS安全模式命令,向UE发送RRC建立消息,该消息中携带第二AS安全模式命令,该第二AS安全模式命令中含有表示所选择的AS安全算法的第二标识;
步骤307、UE向eNodeB发送RRC确认消息,该消息中携带第二AS安全模式命令响应;
步骤308、MME根据UE的NAS安全能力和网络允许用户使用的算法信息,选择出NAS安全算法;或者,根据NAS安全能力、网络允许用户使用的算法信息和用户的签约信息,选择出NAS安全算法;
步骤309、MME创建NAS安全模式命令,向eNodeB发送RANAP消息,该RANAP消息中携带NAS安全模式命令,该NAS安全模式命令携带表示所选择的NAS安全算法的第一标识;
步骤310、eNodeB向UE发送RRC消息,该消息中携带NAS安全模式命令,该NAS安全模式命令携带表示所选择的NAS安全算法的第一标识;
步骤311、UE向eNodeB发送RRC消息,该消息中携带NAS安全模式命令响应;
步骤312、eNodeB向MME发送RANAP消息,该消息中携带NAS安全模式命令响应;
步骤313、MME向eNodeB发送RANAP消息,该消息中携带初始层3响应消息;
步骤314、eNodeB向UE发送RRC消息,该消息中携带初始层3响应消息。
其中,步骤313和步骤314中的初始层3响应消息,可以和步骤309和步骤310中的NAS安全模式命令一起发送;或者,和步骤304和步骤306中的AS安全模式命令一起发送;或者,步骤309和步骤310中的NAS安全模式命令可以和步骤304和步骤306中的AS安全模式命令一起发送,不影响本发明的实现。
参阅图4,本发明的实施例三所提供的安全算法协商的方法包括:
实施三的初始层3消息在RRC请求消息中携带,由MME选择NAS安全算法,eNodeB选择AS安全算法;
其中,步骤401-步骤404与实施例一中的步骤201-步骤204相同;
步骤405、MME向eNodeB发送RANAP消息,该消息中携带初始层3响应消息,初始层3响应消息中携带表示所选择的NAS安全算法的第一标识;
步骤406、eNodeB向UE发送RRC建立消息,该消息中包括:携带第一标识的初始层3响应消息;
步骤407、MME创建第一AS安全模式命令,向eNodeB发送RANAP消息,该消息中携带第一AS安全模式命令,第一AS安全模式命令中携带网络允许用户使用的算法信息;
步骤408、eNodeB根据AS安全能力和该eNodeB预存的自身支持的算法信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;
步骤409、eNodeB创建第二AS安全模式命令,向UE发送RRC消息,该消息中携带第二AS安全模式命令,该第二AS安全模式命令中携带表示所选择的AS安全算法的第一标识;
步骤410、UE向eNodeB发送RRC消息,该消息中携带第二AS安全模式命令响应。
参阅图5,本发明的实施例四所提供的安全算法协商的方法包括:
实施四的初始层3消息在RRC请求消息中携带,将初始层3响应信息在RRC建立消息中携带,由MME选择NAS安全算法和AS安全算法;
步骤501、UE向eNodeB发送RRC请求消息,该请求消息中包括:初始层3消息,初始层3消息携带NAS安全能力和AS安全能力;即在初始层3消息中需要定义两个IE,分别传送AS安全能力和NAS安全能力;
UE所支持的算法可不区分AS算法和NAS算法,那么NAS安全能力和AS安全能力是相同的,通称为UE的安全能力。当UE所支持算法不区分AS算法和NAS算法时,初始层3消息中携带UE安全能力,UE安全能力中可以只携带一个IE;
步骤502、eNodeB向MME发送RANAP消息,该消息中携带初始层3消息,还可能携带自身支持的算法信息,该初始层3消息携带NAS安全能力和AS安全能力,或UE安全能力;
步骤503、MME根据UE的NAS安全能力和网络允许用户使用的算法,选择出NAS安全算法,或者,根据NAS安全能力、网络允许用户使用的算法和用户的签约信息选择NAS安全算法;根据AS安全能力和接收的RANAP消息中的eNodeB自身支持的算法信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;
步骤504、MME创建NAS安全模式命令和第三AS安全模式命令,向eNodeB发送RANAP消息,该RANAP消息中携带初始层3响应消息,NAS安全模式命令和第三AS安全模式命令,其中,NAS安全模式命令携带表示选择的NAS安全算法的第一标识,第三AS安全模式命令携带表示选择的AS安全算法的第二标识;
步骤505、eNodeB根据第三AS安全模式命令携带的第二标识获知所选的AS安全算法;
步骤506、eNodeB创建第四AS安全模式命令,向UE发送RRC建立消息,该消息包括:第四AS安全模式命令、NAS安全模式命令和初始层3响应消息;其中,第四AS安全模式命令携带第二标识;
步骤507、UE向eNodeB发送RRC确认消息,该消息中携带层3确认消息,NAS安全模式命令响应,第四AS安全模式命令响应;
步骤508、eNodeB向MME发送RANAP消息,该消息中携带层3确认消息和NAS安全模式命令响应。
其中,步骤502中eNodeB向MME发送RANAP消息中可以不携带自身支持的算法信息,eNodeB自身支持的算法信息可以直接配置在MME上;
同理,对于实施例二和实施例三,也可以采用由MME选择NAS安全算法和AS安全算法实现安全算法协商,不影响本发明的实现。
参阅图6,本发明的实施例五所提供的安全算法协商的方法包括:
实施五先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法,eNodeB选择AS安全算法;
步骤601、UE向eNodeB发送RRC请求消息,该RRC请求消息中携带UE的安全能力;
步骤602、eNodeB保存UE的安全能力;
步骤603、eNodeB向UE发送RRC建立消息;
步骤604、UE向eNodeB发送RRC完成消息;
步骤605、UE向eNodeB发初始层3消息;
步骤606、eNodeB向MME发送RANAP消息,eNodeB需要向RANAP消息中添加UE安全能力,因此该消息包括:初始层3消息,UE的安全能力;
步骤607、MME根据UE的安全能力和网络允许用户使用的算法信息,选择出NAS安全算法,或者,根据UE的安全能力、网络允许用户使用的算法信息和用户的签约信息选择出NAS安全算法;
步骤608、MME向eNodeB发送RANAP消息,该消息中携带:初始层3响应消息,该初始层3响应消息中携带表示所选择的NAS安全算法的第一标识;
步骤609、eNodeB向UE发送初始层3响应消息,该初始层3响应消息中携带第一标识;
步骤610-步骤613与实施例三中的步骤407-步骤410相同;
参阅图7,本发明的实施例六所提供的安全算法协商的方法包括:
实施六先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法,eNodeB选择AS安全算法;与实施例5不同之处在于,本实施将初始层3响应消息与AS安全模式命令合并成一条消息发送,而实施例5中是分开发送的;
步骤701-步骤707与步骤601-步骤607相同;
步骤708、MME创建安全模式命令,向eNodeB发送RANAP消息,该消息中携带:初始层3响应消息,第一安全模式命令消息,其中,第一安全模式命令消息中携带表示所选择的NAS安全算法的第一标识和网络允许用户使用的算法信息;
步骤709、eNodeB根据UE的安全能力和预存的eNodeB自身支持的算法信息,选择出AS安全算法,或者,根据UE的安全能力和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;
步骤710、eNodeB向UE发送RRC消息,该消息中携带:初始层3响应消息和第二安全模式命令,其中,第二安全模式命令携带第一标识和表示所选择的AS安全算法的第二标识;
步骤711、UE向eNodeB发送RRC消息,该消息中携带第二安全模式命令响应;
步骤712、eNodeB向MME发送RANAP消息,该消息中携带第一安全模式命令响应。
参阅图8,本发明的实施例七所提供的安全算法协商的方法包括:
实施七先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法,eNodeB选择AS安全算法;
步骤801-步骤806与步骤601-步骤606相同;
步骤807、MME根据网络允许用户采用的算法和UE的安全能力,同时也可以考虑用户的签约信息,选择出NAS安全算法;
步骤808、MME向eNodeB发送RANAP消息,该消息中携带:初始层3响应信息、网络允许用户采用的算法信息,其中初始层3响应信息中携带表示所选择的NAS安全算法的第一标识;
步骤809、eNodeB根据UE的安全能力和预存的eNodeB自身支持的算法信息,选择出AS安全算法,或者,根据UE的安全能力和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;
步骤810、eNodeB向UE发送RRC消息,该RRC消息中携带:表示所选择的AS安全算法的第二标识和初始层3响应消息,该初始层3响应消息中携带第一标识。
参阅图9,本发明的实施例八所提供的安全算法协商的方法包括:
实施八先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法和AS安全算法;
步骤901、UE向eNodeB发送RRC请求消息;
步骤902、eNodeB向UE发送RRC建立消息;
步骤903、UE向eNodeB发送RRC完成消息;
步骤904、UE向eNodeB发送初始层3消息;该消息中包括:UE的安全能力;
步骤905、eNodeB向MME发送RANAP消息,该消息包括:初始层3消息和eNodeB自身支持的算法信息,其中初始层3消息中携带UE的安全能力;
步骤906、MME根据UE的安全能力和网络允许用户使用的算法,选择出NAS安全算法,或者,根据UE的安全能力、网络允许用户使用的算法和用户的签约信息选择NAS安全算法;根据UE的安全能力和RANAP消息中的eNodeB自身支持的算法信息,选择出AS安全算法,或者,根据UE的安全能力和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;
步骤907、MME向eNodeB发送RANAP消息,该消息中携带:初始层3响应消息和表示所选择的AS安全算法的第二标识;初始层3响应消息中携带表示所选择的NAS安全算法的第一标识;
步骤908、eNodeB根据第二标识获知AS安全算法;
步骤909、eNodeB向UE发送RRC消息,该RRC消息中包括:初始层3响应消息和第二标识;初始层3响应信息中携带第一标识。
其中,步骤905中eNodeB向MME发送RANAP消息中可以不携带自身支持的算法信息,eNodeB自身支持的算法信息可以直接配置在MME上;
同理,对于实施例六和实施例七,也可以采用由MME选择NAS安全算法和AS安全算法实现安全算法协商,不影响本发明的实现。
其中,UE的安全能力可以不在RRC请求消息中携带,可以在UE向eNodeB发送RRC完成消息中携带;或者,当UE的安全能力区分为AS安全能力和NAS安全能力时,UE的AS安全能力可在RRC请求消息或RRC完成消息中携带,UE的NAS安全能力可在UE向eNodeB发送的初始层3消息中携带,不影响本发明的实现。
参阅图10,本发明的实施例九提供一种安全算法协商的装置,用于系统演进架构/长期演进系统中,该装置包括:
信息接收单元1001,用于接收用户终端所能支持的安全算法信息;
安全算法选择单元1002,用于根据信息接收单元1001中安全算法信息,选择安全算法;
发送单元1003,用于向用户终端发送表示安全算法选择单元1002所选择的安全算法的标识。
其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位于移动性管理实体,用于协商非接入层安全算法,此时,
信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安全算法信息可以为非接入层安全算法信息,该安全算法信息可以通过初始层3消息携带;
安全算法选择单元1002,用于根据安全算法信息和网路允许用户使用的算法信息,也可以考虑用户签约的信息,选择非接入层安全算法;
发送单元1003,用于向用户终端发送表示安全算法选择单元1002所选择的非接入层安全算法的第一标识,该第一标识可以在初始层3响应消息中携带,也可以在NAS模式命令中携带;
其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位于移动性管理实体,用于协商接入层安全算法,该装置还包括:演进基站算法信息接收单元1004,演进基站算法信息配置单元1005,其中,
信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安全算法信息可以为接入层安全算法信息,该安全算法信息可以在初始层3消息中携带;
安全算法选择单元1002,用于根据安全算法信息和演进基站支持的算法信息,选择接入层安全算法;
发送单元1003,用于发送表示安全算法选择单元1002所选择的接入层安全算法的第二标识,该第二标识可以在第三NAS安全模式命令中携带;
演进基站算法信息接收单元1004,用于接收演进基站支持的算法信息并输出到安全算法选择单元1002;
演进基站算法信息配置单元1005,用于配置演进基站支持的算法信息并输出到安全算法选择单元1002。
其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位于演进基站,用于协商接入层安全算法,
信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安全算法信息可以为接入层安全算法信息,该安全算法信息可以在RRC请求消息中携带;
安全算法选择单元1002,用于根据安全算法信息和演进基站支持的算法信息,选择接入层安全算法;
发送单元1003,用于向用户终端发送表示接入层安全算法的第二标识。
参阅图11,本发明的实施例十提供一种网络系统,该系统包括:
演进基站1101,用于向移动性管理实体1102发送用户终端支持的安全算法信息;将来自移动性管理实体1102的第一标识发送给用户终端;
移动性管理实体1102,用于根据安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法,输出表示非接入层安全算法的第一标识。
当该网络系统还要协商接入层安全算法时,演进基站1101,还用于将来自移动性管理实体1102的第二标识发送给用户终端,并根据第二标识获得接入层算法;移动性管理实体1102,还用于根据安全算法信息和演进基站1101自身支持的算法信息,选择接入层安全算法,输出表示所选择的接入层安全算法的第二标识。
当该网络系统还要协商接入层安全算法时,且当安全算法信息为非接入层安全算法信息时,演进基站1101,还用于接收接入层安全算法信息并转发到移动性管理实体1102,将来自移动性管理实体1102的第二标识发送给用户终端,并根据第二标识获得接入层算法;移动性管理实体1102,还用于根据接入层安全算法信息和演进基站1101自身支持的算法信息,选择接入层安全算法,输出表示接入层安全算法的第二标识。
当该网络系统还要协商接入层安全算法时,演进基站1101,还用于根据安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示接入层安全算法的第二标识发送给用户终端。
当该网络系统还要协商接入层安全算法时,且当安全算法信息为非接入层安全算法信息时,演进基站1101,还用于接收接入层安全算法信息,根据接入层安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示接入层安全算法的第二标识发送给用户终端。
以上分析可以看出,本发明的实施例中MME根据UE所能支持的NAS安全能力和网络允许用户使用的算法信息,选择NAS安全算法,并向用户终端发送表示所选择的NAS安全算法的第一标识,能够在SAE/LTE系统中协商出NAS安全算法;本发明的实施例中MME或者eNodeB根据UE所能支持的AS安全能力和eNodeB自身支持的算法信息,选择AS安全算法,且UE和eNodeB获得表示所选择的AS安全算法的第二标识,达到在SAE/LTE系统中协商AS安全算法的目的;本发明的实施例采用在RRC请求消息中携带初始层3消息,初始层3消息中可以携带NAS安全能力,在RRC建立消息中携带初始层3响应消息和第一标识,简化了流程,节约了协商安全算法所用的时间。
以上对本发明实施例所提供的安全算法协商的方法、装置及网络系统进行了详细介绍,本文中应用了具体个例对本发明实施例的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明实施例的方法;同时,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明实施例的限制。
Claims (24)
1.一种安全算法协商的方法,用于系统演进架构/长期演进系统中,其特征在于,该方法包括:
接收用户终端所能支持的安全算法信息;
根据所述安全算法信息,选择安全算法;
向所述用户终端发送表示所述安全算法的标识;
所述根据所述安全算法信息,选择安全算法具体为:
移动性管理实体根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法;和/或:
移动性管理实体或演进基站根据所述安全算法信息和演进基站自身支持的算法信息,选择接入层安全算法。
2.根据权利要求1所述的方法,其特征在于:
所述向所述用户终端发送表示所述安全算法的标识具体为:
所述移动性管理实体向所述用户终端发送表示所述非接入层安全算法的第一标识;和/或:所述移动性管理实体或所述演进基站向所述用户终端发送表示所述接入层安全算法的第二标识。
3.根据权利要2所述的方法,其特征在于:
所述向所述用户终端发送表示所述非接入层安全算法的第一标识具体为:
所述移动性管理实体向所述演进基站发送所述第一标识,所述演进基站向所述用户终端发送所述第一标识。
4.根据权利要3所述的方法,其特征在于:
所述演进基站向所述用户终端发送所述第一标识具体为:
所述演进基站向所述用户终端发送无线资源连接建立消息,所述无线资源连接建立消息中携带非接入层安全模式命令,所述非接入层安全模式命令中携带所述第一标识。
5.根据权利要3所述的方法,其特征在于:
所述演进基站向所述用户终端发送所述第一标识具体为:
所述演进基站向所述用户终端发送无线资源连接建立消息,所述无线资源连接建立消息中携带初始层3响应信息,所述初始层3响应信息中携带所述第一标识。
6.根据权利要求1所述的方法,其特征在于:
在移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信息,选择接入层安全算法之前,该方法还包括:
所述移动性管理实体接收来自所述演进基站的所述演进基站支持的算法信息。
7.根据权利要求1所述的方法,其特征在于:
在移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信息,选择接入层安全算法之前,该方法还包括:
所述移动性管理实体配置所述演进基站支持的算法信息。
8.根据权利要2所述的方法,其特征在于:
所述移动性管理实体向所述用户终端发送表示所述接入层安全算法的第二标识具体为:
所述移动性管理实体向所述演进基站发送所述第二标识,所述演进基站根据所述第二标识获知所述接入层安全算法,并向所述用户终端发送所述第二标识。
9.根据权利要8所述的方法,其特征在于:
所述移动性管理实体向所述演进基站发送所述第二标识具体为:所述移动性管理实体向所述演进基站发送携带所述第二标识的第三接入层安全模式命令;
所述演进基站向所述用户终端发送所述第二标识具体为:
所述演进基站向所述用户终端发送携带所述第二标识的第四接入层安全模式命令。
10.根据权利要1所述的方法,其特征在于:
所述接收用户终端所能支持的安全算法信息具体为:
接收来自所述用户终端的初始层3消息,所述初始层3消息携带所述用户终端所能支持的安全算法信息。
11.根据权利要10所述的方法,其特征在于:所述移动性管理实体选择非接入层安全算法和/或接入层安全算法时,
所述接收来自所述用户终端的初始层3消息具体为:
所述移动性管理实体接收来自演进基站的初始层3消息,所述来自所述演进基站的所述初始层3消息携带在所述用户终端发送的无线资源连接请求消息中。
12.根据权利要求1所述的方法,其特征在于:
所述演进基站根据所述安全算法信息,选择接入层安全算法具体为:
所述演进基站根据所述安全算法信息和所述演进基站自身支持的算法信息,选择接入层安全算法。
13.根据权利要2所述的方法,其特征在于:
所述演进基站向所述用户终端发送表示所述接入层安全算法的第二标识具体为:
所述演进基站向所述用户终端发送携带所述第二标识的第二接入层安全模式命令。
14.根据权利要1所述的方法,其特征在于:所述安全算法信息包括:非接入层安全算法信息和/或接入层安全算法信息。
15.根据权利要求1所述的方法,其特征在于:
所述接收用户终端所能支持的安全算法信息具体为:
接收来自用户终端的安全能力,所述安全能力携带所述接入层安全算法信息和非接入层安全算法信息,并用标识区分所述接入层安全算法信息和所述非接入层安全算法信息。
16.一种移动性管理实体MME,用于系统演进架构/长期演进系统中,其特征在于,该MME包括:
信息接收单元,用于接收用户终端所能支持的安全算法信息;
安全算法选择单元,
用于根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法;
或,用于根据所述安全算法信息和演进基站支持的算法信息,选择接入层安全算法;
发送单元,用于向所述用户终端发送表示所述安全算法的标识。
17.根据权利要求16所述的MME,其特征在于,还包括:
演进基站算法信息接收单元,用于接收所述演进基站支持的算法信息并输出到所述用于根据所述安全算法信息和演进基站支持的算法信息,选择接入层安全算法的安全算法选择单元。
18.根据权利要求17所述的MME,其特征在于,还包括:
演进基站算法信息配置单元,用于配置所述演进基站支持的算法信息并输出到所述用于根据所述安全算法信息和演进基站支持的算法信息,选择接入层安全算法的安全算法选择单元。
19.一种演进基站,用于系统演进架构/长期演进系统中,其特征在于,该演进基站包括:
信息接收单元,用于接收用户终端所能支持的安全算法信息;
安全算法选择单元,用于根据所述安全算法信息和所述演进基站支持的算法信息,选择接入层安全算法;
发送单元,用于向所述用户终端发送表示所述接入层安全算法的第二标识。
20.一种网络系统,其特征在于,该系统包括:演进基站,移动性管理实体,其中,
所述演进基站,用于向所述移动性管理实体发送用户终端支持的安全算法信息;将来自所述移动性管理实体的第一标识发送给所述用户终端;
所述移动性管理实体,用于根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法,输出表示所述非接入层安全算法的第一标识。
21.根据权利要求20所述的系统,其特征在于:
所述演进基站,还用于将来自所述移动性管理实体的第二标识发送给所述用户终端,并根据所述第二标识获得所述接入层算法;
所述移动性管理实体,还用于根据所述安全算法信息和所述演进基站自身支持的算法信息,选择接入层安全算法,输出表示所述接入层安全算法的第二标识。
22.根据权利要求20所述的系统,当所述安全算法信息为非接入层安全算法信息时,其特征在于:
所述演进基站,还用于接收接入层安全算法信息并转发到所述移动性管理实体,将来自所述移动性管理实体的第二标识发送给所述用户终端,并根据所述第二标识获得所述接入层算法;
所述移动性管理实体,还用于根据所述接入层安全算法信息和所述演进基站自身支持的算法信息,选择接入层安全算法,输出表示所述接入层安全算法的第二标识。
23.根据权利要求20所述的系统,其特征在于:
所述演进基站,还用于根据所述安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示所述接入层安全算法的第二标识发送给所述用户终端。
24.根据权利要求20所述的系统,当所述安全算法信息为非接入层安全算法信息时,其特征在于:
所述演进基站,还用于接收接入层安全算法信息,根据所述接入层安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示所述接入层安全算法的第二标识发送给所述用户终端。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710003493A CN101242630B (zh) | 2007-02-05 | 2007-02-05 | 安全算法协商的方法、装置及网络系统 |
| CN201210351794.7A CN102869007B (zh) | 2007-02-05 | 2007-02-05 | 安全算法协商的方法、装置及网络系统 |
| PCT/CN2008/070116 WO2008095428A1 (fr) | 2007-02-05 | 2008-01-16 | Procédé, dispositif et système de réseau de négociation d'algorithmes de sécurité |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710003493A CN101242630B (zh) | 2007-02-05 | 2007-02-05 | 安全算法协商的方法、装置及网络系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210351794.7A Division CN102869007B (zh) | 2007-02-05 | 2007-02-05 | 安全算法协商的方法、装置及网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101242630A CN101242630A (zh) | 2008-08-13 |
| CN101242630B true CN101242630B (zh) | 2012-10-17 |
Family
ID=39681275
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210351794.7A Active CN102869007B (zh) | 2007-02-05 | 2007-02-05 | 安全算法协商的方法、装置及网络系统 |
| CN200710003493A Active CN101242630B (zh) | 2007-02-05 | 2007-02-05 | 安全算法协商的方法、装置及网络系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210351794.7A Active CN102869007B (zh) | 2007-02-05 | 2007-02-05 | 安全算法协商的方法、装置及网络系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN102869007B (zh) |
| WO (1) | WO2008095428A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| GB2462615A (en) | 2008-08-12 | 2010-02-17 | Nec Corp | Optional Access Stratum security activation depending on purpose of request or message parameter in an evolved UTRAN communication network. |
| CN101686233B (zh) * | 2008-09-24 | 2013-04-03 | 电信科学技术研究院 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
| CN101686463B (zh) * | 2008-09-28 | 2013-10-09 | 华为技术有限公司 | 一种保护用户终端能力的方法、装置和系统 |
| CN101841807B (zh) * | 2009-03-19 | 2013-01-23 | 电信科学技术研究院 | 一种安全过程的执行方法和系统 |
| CN102083063B (zh) * | 2009-11-30 | 2013-07-10 | 电信科学技术研究院 | 一种确定as密钥的方法、系统和设备 |
| CN102264065A (zh) * | 2010-05-27 | 2011-11-30 | 中兴通讯股份有限公司 | 一种实现接入层安全算法同步的方法及系统 |
| CN102448058B (zh) * | 2011-01-10 | 2014-04-30 | 华为技术有限公司 | 一种Un接口上的数据保护方法与装置 |
| CN102833742B (zh) * | 2011-06-17 | 2016-03-30 | 华为技术有限公司 | 机器类通信设备组算法的协商方法和设备 |
| WO2014071585A1 (zh) * | 2012-11-08 | 2014-05-15 | 华为技术有限公司 | 一种获取公钥的方法及设备 |
| CN104244247B (zh) * | 2013-06-07 | 2019-02-05 | 华为技术有限公司 | 非接入层、接入层安全算法处理方法及设备 |
| CN105409263B (zh) * | 2013-08-08 | 2019-04-19 | 诺基亚技术有限公司 | 用于代理算法标识选择的方法和装置 |
| WO2018132952A1 (zh) * | 2017-01-17 | 2018-07-26 | 华为技术有限公司 | 无线通信的方法和装置 |
| CN115004634B (zh) * | 2020-04-03 | 2023-12-19 | Oppo广东移动通信有限公司 | 信息处理方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571540A (zh) * | 2004-04-23 | 2005-01-26 | 中兴通讯股份有限公司 | 协商选择空中接口加密算法的方法 |
| CN1601943A (zh) * | 2003-09-25 | 2005-03-30 | 华为技术有限公司 | 一种选择安全通信算法的方法 |
| CN1859422A (zh) * | 2006-03-16 | 2006-11-08 | 华为技术有限公司 | 一种用户终端接入演进网络的处理方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7213144B2 (en) * | 2001-08-08 | 2007-05-01 | Nokia Corporation | Efficient security association establishment negotiation technique |
-
2007
- 2007-02-05 CN CN201210351794.7A patent/CN102869007B/zh active Active
- 2007-02-05 CN CN200710003493A patent/CN101242630B/zh active Active
-
2008
- 2008-01-16 WO PCT/CN2008/070116 patent/WO2008095428A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1601943A (zh) * | 2003-09-25 | 2005-03-30 | 华为技术有限公司 | 一种选择安全通信算法的方法 |
| CN1571540A (zh) * | 2004-04-23 | 2005-01-26 | 中兴通讯股份有限公司 | 协商选择空中接口加密算法的方法 |
| CN1859422A (zh) * | 2006-03-16 | 2006-11-08 | 华为技术有限公司 | 一种用户终端接入演进网络的处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102869007A (zh) | 2013-01-09 |
| CN101242630A (zh) | 2008-08-13 |
| WO2008095428A1 (fr) | 2008-08-14 |
| CN102869007B (zh) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101242630B (zh) | 安全算法协商的方法、装置及网络系统 | |
| KR101877733B1 (ko) | 기기간 통신 환경에서 그룹 통신을 보안하는 방법 및 시스템 | |
| US10320754B2 (en) | Data transmission method and apparatus | |
| KR20190102068A (ko) | 보안 구현 방법, 기기 및 시스템 | |
| CN110786031A (zh) | 用于5g切片标识符的隐私保护的方法和系统 | |
| JP4820429B2 (ja) | 新しい鍵を生成する方法および装置 | |
| EP2290875B1 (en) | Generating method and system for key identity identifier at the time when user device transfers | |
| JP2016502767A (ja) | Mtcのためのグループ認証及びキー管理 | |
| JP2015517758A (ja) | データパケットのアップリンク及びダウンリンクの間のコネクションレス型送信のための方法及びシステム | |
| CN103155615A (zh) | 轻量数据传输机制 | |
| JP7127689B2 (ja) | コアネットワーク装置、通信端末、及び通信方法 | |
| CN104919777A (zh) | 用于在ue和网络二者处的密钥取得的mtc密钥管理 | |
| EP2854329A1 (en) | Method, system, and device for securely establishing wireless local area network | |
| CN101336000B (zh) | 协议配置选项传输方法及系统、用户终端 | |
| US11275852B2 (en) | Security procedure | |
| CN101075865B (zh) | 一种用户面加密的启动方法 | |
| CN101272315B (zh) | 分组数据包传输方法、系统和网络设备 | |
| WO2019158117A1 (en) | System and method for providing security in a wireless communications system with user plane separation | |
| CN101925050B (zh) | 一种安全上下文的生成方法及装置 | |
| CN113841443B (zh) | 数据传输方法及装置 | |
| CN113841366B (zh) | 通信方法及装置 | |
| WO2022025566A1 (en) | Methods and systems for deriving cu-up security keys for disaggregated gnb architecture | |
| CN102833739B (zh) | 一种初始非接入层消息的传输方法、装置及系统 | |
| CN101867931A (zh) | 实现无线通信系统中的非接入层的装置和方法 | |
| EP3059989B1 (en) | Method for realizing secure communications among machine type communication devices and network entity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20080813 Assignee: APPLE Inc. Assignor: HUAWEI TECHNOLOGIES Co.,Ltd. Contract record no.: 2015990000755 Denomination of invention: Safety algorithm negotiation method, device and network system Granted publication date: 20121017 License type: Common License Record date: 20150827 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230323 Address after: Unit 04-06, Unit 1, Unit 2101, Building 1, No.1 East Third Ring Middle Road, Chaoyang District, Beijing, 100020 Patentee after: Beijing Heyi Management Consulting Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP03 | Change of name, title or address |
Address after: Unit 03, Room 1501, 15th Floor, Unit 1, Building 1, No.1 East Third Ring Middle Road, Chaoyang District, Beijing, 100020 Patentee after: Beijing Jingshi Intellectual Property Management Co.,Ltd. Address before: Unit 04-06, Unit 1, Unit 2101, Building 1, No.1 East Third Ring Middle Road, Chaoyang District, Beijing, 100020 Patentee before: Beijing Heyi Management Consulting Co.,Ltd. |
|
| CP03 | Change of name, title or address |